Celem niniejszej procedury
jest określenie zasad bezpiecznego przetwarzania danych osobowych w trakcie
wykonywania pracy zdalnej w obszarze księgowości, w sposób zapewniający
zgodność z RODO oraz szczególny poziom ochrony danych finansowych, kadrowych i podatkowych.
Procedura uwzględnia
podwyższone ryzyko związane z przetwarzaniem m.in. danych identyfikacyjnych,
płacowych, bankowych oraz danych szczególnych kategorii (np. dane o zdrowiu
zawarte w dokumentacji kadrowo-płacowej).
Procedura ma
zastosowanie do wszystkich osób wykonujących pracę zdalną w obszarze
księgowości, w szczególności: - pracowników działu księgowości, - pracowników
biur rachunkowych, - współpracowników B2B, - osób prowadzących obsługę
kadrowo-płacową, - innych osób upoważnionych do przetwarzania danych w
systemach finansowo-księgowych.
·
ADO – Administrator Danych Osobowych,
·
praca zdalna – wykonywanie czynności księgowych poza siedzibą ADO,
·
dane osobowe – dane w rozumieniu art. 4 pkt 1 RODO, w tym dane pracownicze,
kontrahentów i klientów,
·
dane wrażliwe – dane szczególnych kategorii przetwarzane w ramach dokumentacji
kadrowej.
1.
ADO odpowiada za wdrożenie,
nadzór i aktualizację procedury.
2.
Osoby wykonujące pracę zdalną
odpowiadają za zgodne z procedurą przetwarzanie danych oraz zachowanie
tajemnicy księgowej i zawodowej.
1.
Dane osobowe mogą być
przetwarzane wyłącznie w zakresie niezbędnym do realizacji:
o
obowiązków księgowych i
podatkowych,
o
obsługi kadrowo-płacowej,
o
obowiązków sprawozdawczych.
2.
Zabronione jest kopiowanie
danych „na zapas” oraz tworzenie prywatnych archiwów dokumentów.
3.
Każda osoba przetwarzająca dane
musi posiadać imienne upoważnienie.
1.
Praca zdalna musi być
wykonywana w miejscu:
o
zapewniającym poufność danych
finansowych,
o
uniemożliwiającym wgląd osób
trzecich w dokumenty księgowe.
2.
Zabronione jest przetwarzanie
danych księgowych w miejscach publicznych.
3.
Dokumenty papierowe (faktury,
listy płac, umowy) należy przechowywać w zamkniętych szafach lub pojemnikach.
1.
Dane osobowe mogą być
przetwarzane wyłącznie na sprzęcie zatwierdzonym przez ADO.
2.
Systemy finansowo-księgowe
muszą:
o
posiadać indywidualne konta
użytkowników,
o
rejestrować logi dostępu,
o
być regularnie aktualizowane.
3.
Zabronione jest eksportowanie
danych do plików lokalnych bez zgody ADO.
4.
Nośniki danych muszą być
szyfrowane.
- Dostęp do Krajowego Systemu e-Faktur (KSeF) w ramach pracy
zdalnej może odbywać się wyłącznie:
o
z wykorzystaniem kont i
uprawnień nadanych zgodnie z zasadami określonymi przez ADO,
o
z użyciem sprzętu
zatwierdzonego przez ADO.
- Zabronione jest korzystanie z KSeF z prywatnych urządzeń lub
kont niezarejestrowanych w systemach ADO.
- Dane uwierzytelniające do KSeF (tokeny, certyfikaty, dane
dostępowe) podlegają szczególnej ochronie i nie mogą być:
o
udostępniane osobom trzecim,
o
przechowywane w formie jawnej,
o
przesyłane za pośrednictwem
niezabezpieczonych kanałów komunikacji.
- Uprawnienia w KSeF powinny być nadawane zgodnie z zasadą
minimalizacji i okresowo weryfikowane.
- Dostęp do systemów księgowych musi odbywać się z
wykorzystaniem:
o
VPN lub innych bezpiecznych
połączeń,
o
uwierzytelniania
wieloskładnikowego (jeśli dostępne).
- Przesyłanie dokumentów księgowych odbywa się wyłącznie za
pośrednictwem zatwierdzonych kanałów komunikacji.
- Zabronione jest korzystanie z prywatnych skrzynek e-mail i
prywatnych chmur.
1.
Faktury ustrukturyzowane
przetwarzane w KSeF stanowią dokumentację zawierającą dane osobowe kontrahentów
i osób fizycznych.
2.
Zabronione jest pobieranie
faktur z KSeF na lokalne nośniki, o ile nie jest to niezbędne do realizacji
obowiązków księgowych.
3.
W przypadku pobrania dokumentu
z KSeF, pliki muszą:
o
być przechowywane wyłącznie
tymczasowo,
o
zostać usunięte po wprowadzeniu
danych do systemu księgowego.
4.
Eksport danych z KSeF do
systemów finansowo-księgowych musi odbywać się z użyciem narzędzi
zatwierdzonych przez ADO.
5.
Zabronione jest przekazywanie
faktur pobranych z KSeF klientom lub kontrahentom z wykorzystaniem prywatnych
skrzynek e-mail.
1.
Dokumentacja kadrowo-płacowa
podlega szczególnej ochronie.
2.
Zabronione jest drukowanie list
płac i dokumentów kadrowych bez uzasadnionej potrzeby.
3.
Dane kadrowe nie mogą być
przechowywane lokalnie po zakończeniu pracy.
1.
Dane osobowe należy
archiwizować wyłącznie w systemach ADO.
2.
Po zakończeniu pracy zdalnej
wszelkie lokalne kopie danych muszą zostać usunięte.
3.
Niszczenie dokumentów
papierowych odbywa się zgodnie z obowiązującą procedurą archiwizacji.
- Za naruszenie ochrony danych w kontekście KSeF uznaje się w
szczególności:
o
nieuprawniony dostęp do konta
KSeF,
o
utratę tokenu lub certyfikatu,
o
błędne nadanie uprawnień w
KSeF,
o
pobranie lub udostępnienie
faktur osobom nieuprawnionym.
- Każde podejrzenie naruszenia należy niezwłocznie zgłosić ADO.
- Osoby wykonujące pracę zdalną są zobowiązane do
natychmiastowego podjęcia działań ograniczających skutki incydentu.
- Każde podejrzenie naruszenia (np. wysłanie faktury do błędnego
odbiorcy, utrata laptopa, nieuprawniony dostęp do systemu) należy
niezwłocznie zgłosić.
- Osoby wykonujące pracę zdalną są zobowiązane do współpracy przy
analizie incydentu.
1.
Przed dopuszczeniem do pracy
zdalnej osoby przetwarzające dane księgowe muszą odbyć szkolenie z RODO i
bezpieczeństwa informacji.
2.
Obowiązek zachowania poufności
obowiązuje również po zakończeniu współpracy.
1.
Procedura wchodzi w życie z
dniem zatwierdzenia przez ADO.
2.
Naruszenie procedury może
skutkować odpowiedzialnością porządkową, cywilną lub umowną.
3.
Procedura podlega okresowym
przeglądom, nie rzadziej niż raz w roku.
